Organizacja podróży służbowych a RODO
Z licznych obowiązków, które nałożyło na pracodawców Ogólne Rozporządzenie o Ochronie Danych (RODO), spore problemy sprawia prawidłowe określenie roli podmiotu, któremu w ramach współpracy przekazywane są dane osobowe pracowników.
Często pojawiają się wątpliwości czy pracodawca powinien zawrzeć umowę powierzenia z kontrahentem, czy jednak właściwym rozwiązaniem będzie udostępnienie danych pracowników. W związku z tym – czy kontrahent będzie pełnił role podmiotu przetwarzającego dane pracowników, czy stanie się ich administratorem?
W poprzednim artykule rozprawiliśmy się z kwestią przekazywania danych kontaktowych pracowników kontrahentom (artykuł znajdziesz TUTAJ)
Wskazaliśmy, że dane kontaktowe pracowników są udostępniane kontrahentom, a właściwą podstawą prawną do ich udostępnienia jest art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes. W tym przypadku prawnie uzasadnionym interesem pracodawcy jest umożliwienie komunikacji z osobami kontaktowymi w zakresie realizacji umowy.
W dzisiejszym artykule dokonamy analizy procesu związanego z przekazywaniem danych osobowych pracowników do kontrahenta – biura podróży. Tym razem nie będą to wyłącznie dane kontaktowe pracownika, a informacje niezbędne do zorganizowania podróży służbowej.
Mając na uwadze fakt, że współpraca z podmiotami nawet z tej samej branży może odbywać się na zupełnie innych warunkach, przyjrzymy się przedstawionemu poniżej stanowi faktycznemu.
Stan faktyczny
- Biuro podróży świadczy na rzecz Spółki XYZ usługę organizacji podróży służbowych. W związku z tym dochodzi do przekazywania danych osobowych pracowników Spółki. Lista wszystkich pracowników wgrywana jest do platformy zarządzanej przez biuro podróży i na bieżąco aktualizowana przez dedykowanego pracownika Spółki. Przekazywane są dane w następującym zakresie: imię, nazwisko, adres e-mail, stanowisko, nr pracowniczy, dane kontaktowe przełożonego, limit cenowy biletów. Uprawnienia dostępu do platformy nie są przyznawane każdemu pracownikowi, którego dane są przekazywane.
- Spółka XYZ jako pracodawca, decyduje którzy pracownicy w ramach świadczonej pracy, będą zobowiązani do odbywania podróży służbowych, ustala kierunek podróży, termin podróży, limit cenowy na realizację usługi świadczonej przez biuro podróży.
- W ramach współpracy biuro podróży pośredniczy lub dokonuje m. in.:
- rezerwacji usług hotelowych
- rezerwacji biletów lotniczych
- Świadczenie powyższych usług, wiąże się z udostępnianiem danych osobowych pracowników przez biuro podróży hotelom i liniom lotniczym, w zakresie niezbędnym do realizacji danej usługi.
Analiza terminu „administrator danych”
- podejmuje decyzję dotyczącą określonego celu, czyli tego czy, dlaczego i w jakim zakresie będą przetwarzane dane osobowe,
- decyduje o sposobach przetwarzania danych.
Należy zwrócić uwagę, że drugi z czynników, który kwalifikuje podmiot jako administratora, może być trudniejszy do ustalenia w praktyce.
Słusznie wskazuje się, że podmiot przetwarzający, głównie ten o dużym udziale w rynku w swojej specjalizacji, decyduje de facto o środkach, a zwłaszcza o technicznych sposobach przetwarzania i niejednokrotnie właśnie to, że dysponuje tymi środkami, jest powodem powierzenia mu przetwarzania danych.
Z kolei podejmowanie decyzji o sposobach przetwarzania, odbywa się w istocie już w momencie decydowania o powierzeniu realizacji danego procesu podmiotowi przetwarzającemu. Tym samym, decyzją o sposobach przetwarzania jest już decyzja o niesamodzielnej realizacji danego procesu.
Powierzenie danych oraz ich udostępnienie uregulowane w jednej umowie – czy to możliwe?
Ustaliliśmy już, że w przypadku współpracy Spółki XYZ z biurem podróży dochodzi do powierzenia przetwarzania danych osobowych pracowników. W takiej sytuacji art. 28 ust. 3 RODO nakłada obowiązek zawarcia umowy powierzenia lub innego instrumentu prawnego, wiążącego administratora danych – Spółkę XYZ i podmiot przetwarzający – biuro podróży.
Udostępnienie danych stanowi zatem jedną z form wykonywania czynności na danych osobowych – przetwarzania danych. Warto podkreślić, że z udostępnieniem danych osobowych mamy do czynienia wyłącznie wtedy, gdy odbiorcą danych jest inny administrator. W związku z tym, udostępnienie nastąpi wtedy, gdy administrator danych osobowych przekaże bądź umożliwi zapoznanie się z danymi innemu podmiotowi, a podmiot ten będzie pełnił w stosunku do tych danych rolę administratora danych. Kwestia sposobu udostępnienia danych pozostawiona została do decyzji podmiotom przekazującym dane osobowe.
W analizowanym procesie tj. organizacji podróży służbowych, biuro podróży pełniące rolę podmiotu przetwarzającego jest uprawnione do wykonywania szeregu czynności na danych osobowych pracowników, w tym udostępnienia danych w imieniu Spółki XYZ do przewoźników lotniczych i hoteli.
Wniosek
Spółka XYZ współpracuje z biurem podróży. W związku ze świadczonymi przez biuro podróży usługami Spółka powierza dane osobowe swoich pracowników. Dane powierzane są w określonym przez Spółkę celu – usprawnienia procesu organizacji podróży. Podejmując decyzję o skorzystaniu z usług konkretnego biura podróży, Społka pełniąca rolę administratora danych pracowników, ustala również sposób przetwarzania tych danych.
W związku z powyższym, biuro podróży w procesie organizacji podróży służbowych względem danych osobowych pracowników Spółki XYZ, pełni rolę podmiotu przetwarzającego. Niezbędne jest zatem zawarcie przez strony umowy powierzenia danych osobowych, w której zgodnie z art. 28 ust. 3 RODO określony zostanie: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO);
- Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz. WKP 2018. Red. Paweł Litwiński, Paweł Barta, Maciej Kawecki;
- RODO Ogólne rozporządzenie o ochronie danych. Komentarz. WKP 2018. Red. Edyta Bielak- Jomaa, Dominik Lubasz.
Witam, bardzo ciekawy artykuł. Jasno i precyzyjnie określone role poszczególnych podmiotów. Mam nadzieję na więcej takich wpisów z Państwa strony 🙂 Może następnym razem poruszą Państwo problematykę zależności między firmą ubezpieczającą, brokerem, a zakładem pracy, który zamawia ubezpieczenie właśnie poprzez brokera. Nie spotkałam się jeszcze nigdzie z interpretacją tego problemu od strony pracodawcy, wszędzie jest tylko spojrzenie na brokera od strony zakładu ubezpieczeń.
Dzień dobry. Dziękujemy za miłą opinię! 🙂 Co do propozycji – jak mówił Jerzy Kiler „Pomyślimy…”. 😉 Pozdrawiamy!
Witam,
czy uczelnie mogą powoływać się na art. 6 lit. e przy przetwarzaniu danych osobowych.
Pozdrawiam
Dzień dobry. Jeśli jest to adekwatna podstawa do danego celu przetwarzania – tak. Pozdrawiamy! 😉
Dziękuję za odpowiedź,
nurtuje mnie cel przetwarzania w interesie publicznym lub sprawowaniu władzy publicznej przez „uczelnię”.
Pozdrawiam